وصول مركزي إلى التوقيعات الرقمية وغيرها من مفاتيح الحماية الإلكترونية باستخدام أجهزة USB عبر IP

أريد مشاركة تجربتنا التي دامت عامًا واحدًا في إيجاد حل لتنظيم وصول مركزي ومنظم إلى مفاتيح الأمان الإلكترونية في مؤسستنا (مفاتيح للوصول إلى قاعات التداول ، مفاتيح البنوك ، مفاتيح أمان البرنامج ، إلخ). فيما يتعلق بوجودنا للفروع ، والتي يتم فصلها جغرافيًا تمامًا عن بعضها البعض ، ووجود العديد من مفاتيح الحماية الإلكترونية في كل منها - هناك دائمًا حاجة إليها ، ولكن في الفروع المختلفة. بعد ضجة أخرى مع المفتاح المفقود ، حددت الإدارة المهمة - لحل هذه المشكلة وجمع جميع أجهزة حماية USB في مكان واحد ، والتأكد من أنها تعمل معهم بغض النظر عن موقع الموظف.

لذلك ، نحتاج إلى جمع المفاتيح المتوفرة في مكتب واحد في شركتنا ، وبنك العميل ، وتراخيص 1 ثانية (غلق بمشبك) ، وملفات الجذر ، و ESMART Token USB 64K ، إلخ. للاستخدام اللاحق على الأجهزة المادية والظاهرية عن بعد Hyper-V. عدد أجهزة USB هو 50-60 وبالتأكيد ليس هذا هو الحد الأقصى. موقع خوادم المحاكاة الافتراضية خارج المكتب (مركز البيانات). موقع جميع أجهزة USB في المكتب.

درسنا التقنيات الحالية للوصول المركزي إلى أجهزة USB وقررنا التركيز على تقنية USB عبر IP (USB عبر IP). اتضح أن العديد من المنظمات تستخدم هذا الحل بالذات. هناك كل من USB عبر أجهزة وبرمجيات IP في السوق ، لكنها لم تناسبنا. وفقًا لذلك ، سنركز فقط على اختيار أجهزة USB عبر IP ، وقبل كل شيء على اختيارنا. الأجهزة من الصين (بدون اسم) ، استبعدنا أيضًا من الدراسة.

يعد حل أجهزة USB عبر بروتوكول الإنترنت الأكثر وصفاً على الإنترنت هو الجهاز الذي تم تصنيعه في الولايات المتحدة الأمريكية وألمانيا. للدراسة التفصيلية ، اشترينا إصدارًا كبيرًا للتركيب على حامل من هذا USB عبر IP ، مصممًا لـ 14 منفذ USB ، مع إمكانية التركيب في حامل 19 بوصة و USB ألماني عبر IP ، مصمم ل 20 منفذ USB ، وكذلك مع إمكانية التركيب في حامل 19 بوصة. لسوء الحظ ، لم يكن لدى هذه الشركات المصنعة عدد أكبر من USB عبر منافذ جهاز IP.

الجهاز الأول مكلف للغاية ومثير للاهتمام (الإنترنت مليء بالمراجعات) ، ولكن هناك ناقصًا كبيرًا للغاية - لا توجد أنظمة ترخيص لتوصيل أجهزة USB. يمكن لأي شخص يقوم بتثبيت تطبيق اتصال USB الوصول إلى جميع المفاتيح. بالإضافة إلى ذلك ، كما بينت الممارسة ، فإن جهاز USB "esmart token est64u-r1" غير مناسب للاستخدام مع الجهاز ، وبالنظر إلى الأمام ، مع "الألمانية" على نظام Win7 OS - عندما يكون BSOD دائم متصلاً به.

بدا USB الثاني عبر جهاز IP أكثر إثارة للاهتمام بالنسبة لنا. يحتوي الجهاز على مجموعة كبيرة من الإعدادات المتعلقة بوظائف الشبكة. يتم تقسيم واجهة USB عبر IP بشكل منطقي ، لذلك كان الإعداد الأولي بسيطًا وسريعًا إلى حد ما. ولكن ، كما ذكرنا سابقًا ، كانت هناك مشاكل في توصيل عدد من المفاتيح.

دراسة المزيد من أجهزة USB عبر IP جاءت عبر الشركات المصنعة المحلية. يشتمل نطاق الطراز على إصدارات 16 و 32 و 48 و 64 منفذًا مع إمكانية التركيب في حامل مقاس 19 بوصة. كانت الوظيفة الموصوفة من قبل الشركة المصنعة أكثر ثراءً من وظيفة USB السابقة عبر IP. في البداية ، أحببت أن USB المحلي الخاضع للتحكم عبر لوحة وصل IP يوفر حماية على مرحلتين لأجهزة USB عند مشاركة USB عبر شبكة:

1. الطاقة المادية عن بعد وخارجها من أجهزة USB ؛
2. إذن لتوصيل أجهزة USB عن طريق تسجيل الدخول وكلمة المرور وعنوان IP.
3. إذن لتوصيل منافذ USB عن طريق تسجيل الدخول وكلمة المرور وعنوان IP.
4. تسجيل جميع إدخالات ووصلات أجهزة USB من قبل العملاء ، وكذلك هذه المحاولات (إدخال كلمة مرور غير صحيح ، وما إلى ذلك).
5. تشفير حركة المرور (والذي ، من حيث المبدأ ، لم يكن سيئًا في النموذج الألماني).
6. بالإضافة إلى ذلك ، كان من المناسب أن الجهاز ، على الرغم من أنه ليس رخيصًا ، كان أرخص بعدة مرات من الجهاز الذي تم شراؤه من قبل (أصبح الفرق مهمًا بشكل خاص عند تحويله إلى منفذ ، فقد اعتبرنا USB 64 منفذًا عبر بروتوكول الإنترنت).

قررنا أن نوضح مع الشركة المصنعة كيف الأمر بدعم من نوعين من الرموز الذكية التي لديها مشاكل في الاتصال في وقت سابق. لقد علمنا أنهم لا يقدمون ضمانًا بنسبة 100٪ لدعم جميع أجهزة USB تمامًا ، لكنهم لم يعثروا بعد على جهاز واحد سيواجه مشاكل. لم نكن راضين عن هذه الإجابة واقترحنا على الشركة المصنعة نقل الرموز للاختبار (الفائدة كانت أن الشحن من شركة النقل يكلف 150 روبل فقط ، ولدينا الرموز القديمة الكافية). بعد 4 أيام من إرسال المفاتيح ، علمنا ببيانات الاتصال وكان لدينا اتصالات رائعة مع Windows 7 و 10 و Windows Server 2008. كل شيء سار على ما يرام ، وصلنا الرموز لدينا دون مشاكل وأتيحت لنا الفرصة للعمل معهم.
لقد اشترينا USB متحكم به عبر محور IP مع 64 منفذ USB. وصلنا جميع المنافذ الـ 64 من 18 جهاز كمبيوتر في فروع مختلفة (32 مفتاحًا والباقي - محركات أقراص فلاش ومحركات أقراص صلبة و 3 كاميرات USB) - عملت جميع الأجهزة دون مشاكل. بشكل عام ، كان الجهاز راضيا.

لا أقدم أسماء ومصنعي USB عبر أجهزة IP (بحيث لن يكون هناك إعلان) ، يمكن العثور عليها ببساطة على الإنترنت.